LdN 467: Patentienakte Sicherheit & UX

Ich selbst habe Jahrelang in der IT-Sicherheits-Branche gearbeitet und kenne mich IMHO sehr gut mit dem Dilemma UX vs Sicherheit aus. Wenn etwas einfach ist, ist es gleichzeitig nicht sicher - mir Grundsatz gilt nahezu immer.
Hauptkritik von mir ist die sehr persönliche und nicht gut abgewogene Sicht von Ulf und Phillipp.
Wir müssen uns darüber einig sein wie sicherheitskritisch die Daten in einer Patientenakte sind. Wenn sie so schützenswert sind so wie sie auch gesetzlich eingestuft werden, dann ist für mich durchaus nachvollziebar dass

1. Widerherstellung von einem Backup ausgeschlossen werden muss - denn sonst könnte Apple/Google/CIS etc. sich diese Daten auch holen. Disclaimer: Ein Backup kann auch verschlüsselt werden und somit voll vertrauenswürdig sein. Dies ist jedoch nicht in der Kontrolle der EPa Entwickler.
2. der (Erst-)Zugriff erheblichen/notwendigen Sicherheits-Hürden unterliegt, denn sonst könnte ja jeder einfach auf die Daten zugreifen. (wie ja auch vom CCC hinlänglich gezeigt)

Phillip hat in der Hinsicht Recht, dass sie wohl für die meisten jungen, gesunden, männlichen, hetero-sexuell normativen Menschen nicht zur Diskrimierung/Erpressung genutzt werden können.
An phantasievollen Ideen mangelt es mir nicht: zB könnte ein Datenleck direkt in eine Art Gesundheits-Schufa fließen (Versicherungen haben finanzielles Interesse daran zu wissen, ob sie mit jemandem Geld verdienen oder verlieren werden) oder in eine Kartei aller LGBPTQ Personen.

Das halte ich für eine sehr steile These, schreib das doch gleich mal an Redaktion@Cybernation.fm, denn kann unser neues Beiboot dieses Thema mal diskutieren

Mir fallen gerade aus dem Hause Apple eine ganze Reihe Beispiele ein, wo sichere Lösungen sich hinter einer ausgesprochen angenehmen User Experience verbergen (iMessage als Default-SMS zB).

Konkretes Beispiel, wo Sicherheit eher zum Sicherheitswahnsinn wird:

Richtig, das können die Entwickler nicht kontrollieren, aber der User. Warum überlässt man es nicht einfach dem User, für sich zu entscheiden, wie sehr er diese Gesundheitsdaten oder auch nur den Zugriff darauf schützen will? Was ist das bitte für ein paternalistischer Extremismus, dass alle Menschen in Deutschland ihre ePA-App alle ein, zwei Jahre komplett neu installieren müssen, nur weil man sie um jeden Preis vor einem etwa möglichen Zugriff von Google schützen will? Tut es da nicht auch eine Warnung mit Opt-in? Oder eine einmalige Kontrolle über einen zweiten Faktor, beispielsweise E-Mail oder SMS oder elektronischer Personalausweis? Es gibt wirklich zahllose Lösungen, die das Problem besser adressieren als einfach neues Handy, alles weg.

Vielen Dank dafür, dass ihr das Thema aufgegriffen habt. Leider kann ich fast alles was ihr sagt unterschreiben.

Beim Thema Anmeldung ging es mir ähnlich wie im Podcast beschrieben, ich habe durchaus technisches Verständnis aber ich bin bei 2 Krankenkassen von Verwandten gescheitert und nur bei meiner eigenen KK hat es geklappt.

Der Fehler liegt daran, dass IBM Deutschland (die ja defacto die ePA betreibt Quelle), die konkrete (erste) Anmeldung bei der ePA PC-App so verhunzt hat, dass meine KK da etwas einstellen muss, damit die Anmeldung überhaupt funktioniert. Ich glaube es hat etwas mit der Authentifizierung des Gerätes zu tun (die ePA darf ja immer nur auf einem Gerät laufen) aber das ist jetzt Spekulation meinerseits. Auch bei den Krankenkassen von 2 Verwandten kam dieser Fehler bei der ePA PC-App aber dort konnte bzw. wollte mir die Hotline nicht helfen.

Auch der Fokus auf des Handy als Hauptplattform der ePA finde ich nicht gut. Es handelt sich ja um eine Akten und so etwas bearbeitet man vorzugsweise am PC.

Auch die Geschichten von Ärzten, die nichts von der ePA wissen bzw. nichts einstellen wollen, habe ich schon gehört. Teilweise verlangen Ärzte sogar die PIN, damit sie die ePA nutzen können, was natürlich falsch ist (Quelle: KBV), den darüber würden die Ärzte ja den Vollzugriff auf die ePA erhalten.
Scheinbar gibt es bei den Ärzten da großes Unwissen und möglicherweise sogar Desinteresse. Zum teil kann ich die nachvollziehen, weil die ePA natürlich Mehraufwand bedeutet der dessen Abrechnung bisher nicht richtig geklärt ist (Quelle).

Eigentlich ist die Idee einer Patienten-geführten Akte ja sinnvoll, aber bisher scheint das ganze ziemlich daneben gegangen zu sein. Hoffentlich tut sich da noch etwas

Ganz davon abgesehen, dass so ein Handy mal verloren geht bzw nach wenigen Jahren getauscht wird. Was dann? Den ganzen Akt noch einmal durchführen?

Das Problem bei der EPA liegt knallhart bei der Gematik. Das ist nun nicht das erste mal, dass diese Firma vollkommenen Mumpitz abliefert, ich erinnere nur an die Kartenlesegeräte, bei denen die Gematik keine Updates der Zertifikate vorgesehen hatte, sondern komplett neue Geräte verkaufen wollte.

Es ist Gang und Gäbe, vor Launch eines Produkts - zumal im offenen Internet zugänglich - sowohl Useability, als auch Pentests durchführen zu lassen.

Dass ein Penetrationstest bei einer App, die so sensible Daten wie Gesundheitsdaten verarbeitet, nicht durchgeführt wurde, ist vollkommen unentschuldbar.

Die Gematik soll einerseits als privatwirtschaftliches Unternehmen operieren. Andererseits ist der Bund Mehrheitseigner. Die gematik ist formal eine GmbH, aber operativ eine politisch gesteuerte Plattform. Das funktioniert hier offenbar genauso gut, wie bei der Bahn.

Zudem haftet am Ende niemand für Nutzerqualität.
Ärzte sind Stakeholder, aber nicht Product Owner,
IT-Firmen sind Lieferanten, aber nicht Systemverantwortliche und das
Ministerium setzt Ziele, aber baut kein Produkt. Diese diffuse Verantwortungsarchitektur sorgt am Ende dafür, dass immer wieder Quark abgeliefert wird, und niemand dafür geradestehen muss.

Ich kenne Leute, die in Health-Tech gearbeitet haben und daher mit der Gematik zu tun hatten und vom Schnittstellendesign über Arbeitsprozesse: Wer mal irgendwas mit IT zu tun hatte, rauft sich bei den Geschichten wirklich ungläubig die Haare.

Was die Abwägung von Sicherheit und Nutzbarkeit angeht: Ja, das kann zu Konflikten führen, das was die Gematik hier abgeliefert hat, war aber einfach ein Designtotalausfall. Das ist kein Konflikt von Sicherheit und Nutzbarkeit, das ist einfach richtig schlechte Arbeit und das kommt bei der Gematik leider immer wieder vor.

EDIT: Stilblüten

Guter Punkt. Das ein Handy viel eher verloren geht ist definitiv ein Argument gegen das Handy.

Und man verliert mit seinem Handy ja nicht nur den Zugang sondern ggf. auch heruntergeladene Dateien, die man ja sehr wahrscheinlich erstmal auf dem Handy speichert.

Leider bin ich mit dem PC aber nur geringfügig besser dran. Denn ich brauche für die 2 Faktor Authentifizierung auch mein Handy bevor ich die ePA am PC nutzen kann. Und als größter Gag erinnert mich die Handy-App dann auch noch bei jeder Authentifizierung, dass mein Smartphone-Betriebssystem nicht mehr aktuell sei und ich daher ja ein neues Handy bräuchte, auf dem ich dann erneut die App meiner KK Authentifizieren müsste.

Es ist ja auch nicht nur das Verlieren, sondern eben auch, dass man so ein Gerät doch relativ häufig wechselt (kannt ´jemand eine Statistik dazu?).

Generell kann man aber, wenn es nur um die 2FA auf dem Handy geht, relativ einfach Drittsoftware erlauben (also Google oder Microsoft Authenticator, gibt diverse andere), die sich dann auch leicht wieder mit den Konten verknüpfen lassen bzw. für die es auch beim Gerätwechsel eine Übernahmefunktion gibt. Wieso hier immer das Rad neu erfinden, TOTP ist ein offener Standard.?

Fortsetzung der Diskussion von LdN 467: Patentienakte Sicherheit & UX:

Ich finde zwar auch das die Bedienung der EPA immernoch viel zu kompliziert ist, und hatte bei der Eröffnung meines accounts ähnliche Probleme wie Ulf, aber das ist jetzt auch schon lange her, ziemlich kurz nach Einführung der EPA. Ich glaube, dass sich zumindest bei meiner Krankenkasse (Techniker) einiges verbessert hat. In den letzten zwei Monaten hatte ich wg. technischer Probleme zwei neue Smartphones. Wie genau die Übertragung des Accounts auf die neuen Telefone funktioniert hat, weiss ich nicht mehr so recht, aber ich brauchte auf jeden Fall keine neuen Aktivierungsbriefe.
Von daher finde ich Kritik zwar im Prinzip gerechtfertigt, aber die kritischen Bemerkungen zur Kontoeinrichtung sind wahrscheinlich nicht mehr wirklich aktuell, und insofern auch kontraproduktiv, da es Leute davon abhalten mag die EPA zu nutzen.

Sicherheit vs UserExperience:

In den Fällen wo man es schafft, dass es sicher und einfach ist, ist häufig schon sehr viel Aufwand vorher betrieben worden. Bei Apple hat man sich ein teures physisches Gerät gekauft, und sein Vertrauen für das Identitätsmangement an eine zentrale Stelle (Apple) abgegeben. Häufig machen es auch Standards einfach - dann ist, aus der Sicht des Endnutzer zufällig” schon notwendige Funktionalität vorhanden (Stichwort: Secure Enclave).
Eigentlich gibt es keine guten Argumente warum es bei der ePA nicht auch einfach gehen kann schließlich vertraut man da ja auch einer zentralen Stelle UND hat (evtl.) sogar den elektronischen Personalausweis.

Thema Backup:
Mir ist aufgefallen, dass du eigentlich gar nicht forderst dass die ePA im Backup landen soll weil die ist ja eh schon (unverschlüsselt) zentral in der Cloud gespeichert wird - sondern nur die Konfiguration. Hier mein Argument man sollte lieber die Einrichtung soweit wie möglich “streamlinen“ und mit elektronischem Personalausweis vereinfachen an Stelle die Sicherheit zu reduzieren.

Thema Nutzer Entscheiden lassen:

Da die meisten Nutzer keine Ahnung von Sicherheit haben, und selbst die die es Wissen meistens auch kein Backup, geschweige denn eines das funktioniert. - kann man so ein Feature nicht zentral anbieten, da man die Personen gar nicht genug aufklären kann, um jedem die Entscheidung zu überlassen. Also bleibt es maximal ein Rand-Feature das gepflegt und getestet werden muss und in der Sicherheitsstrategie stetig mit berücksichtigt werden muss. (Jetzt könnte man natürlich auch zu Recht argumentieren das die Gematik genug Geld bekommt)

Stimme aber zu: Wenn jemand es Angreifern einfacher macht als Endnutzern, hat man nicht viel richtig gemacht.